Selamlar THT ailesi, bugün yaptığım taramalarda denk geldiğim, hem SQL Injection hem de Reflected XSS barındıran Hollanda menşeli bir tarih arşivi sitesini paylaşıyorum.
Site URL: Kennemerland in de Tweede Wereldoorlog
Açıklı URL: https://www.wo2kennemerland.nl/php_main/foto.php?id=68
SQL: id parametresi üzerinden Error-Based SQL Injection zafiyeti mevcuttur. Tek tırnak (' ) atıldığında doğrudan MariaDB hata mesajı döndürmektedir
XSS: Parametreye girilen script kodları temizlenmeden hata mesajı içerisinde yansıtılmaktadır. SQL hatası sayfa akışını kesse de kodlar DOM'a yansımaktadır
Ek Bilgiler:
Site URL: Kennemerland in de Tweede Wereldoorlog
Açıklı URL: https://www.wo2kennemerland.nl/php_main/foto.php?id=68
SQL: id parametresi üzerinden Error-Based SQL Injection zafiyeti mevcuttur. Tek tırnak (' ) atıldığında doğrudan MariaDB hata mesajı döndürmektedir
XSS: Parametreye girilen script kodları temizlenmeden hata mesajı içerisinde yansıtılmaktadır. SQL hatası sayfa akışını kesse de kodlar DOM'a yansımaktadır
Ek Bilgiler:
- Ülke: Hollanda (.nl)
- WAF/Koruma: Cloudflare veya benzeri bir koruma gözükmüyor, request limiti oldukça esnek.
- İçerik: İkinci Dünya Savaşı Hollanda/Kennemerland bölgesi tarih arşivi.
